Σάββατο βράδυ στις 3 Δεκεμβρίου το νοσοκομείο André-Mignot στις Βερσαλλίες στο Παρίσι απομονώνει τα συστήματα υπολογιστών του εξαιτίας μιας κυβερνοεπίθεσης με το κακόβουλο λογισμικό ransomware από εγκληματίες του κυβερνοχώρου που αξιώνουν λύτρα.
Στο νοσοκομείο «παγώνουν» όλες οι ιατρικές υπηρεσίες και κλινικές πράξεις, ακυρώνονται χειρουργεία, ενώ το προσωπικό αναγκάζεται να μεταφέρει έξι ασθενείς από τις ΜΕΘ, αλλά και βρέφη από τις μονάδες νεογνών σε άλλες εγκαταστάσεις υγειονομικής περίθαλψης, σύμφωνα με τον Υπουργό Υγείας και Πρόληψης της Γαλλίας Φρανσουά Μπράουν.
Η Ile-de-France Regional Health Agency, ARS (Περιφερειακή Υπηρεσία Υγείας) παραπέμπει ασθενείς με ήδη προγραμματισμένες επισκέψεις ή επεμβάσεις (π.χ. χειρουργική επέμβαση, χημειοθεραπεία, ακτινοθεραπεία) στον γιατρό τους ή στο κατάλληλο τμήμα για να βρουν μια διαθέσιμη μονάδα θεραπείας.
Με την τελευταία επίθεση στο Παρίσι επανέρχεται στη δημοσιότητα η δράση συμμοριών του κυβερνοχώρου που απειλούν με κακόβουλα λογισμικά οργανισμούς υγειονομικής περίθαλψης σε παγκόσμιο επίπεδο και που, από ό,τι φαίνεται, δεν έχουν τέλος.
«Καθώς οι τεχνολογίες εξελίσσονται με ταχείς ρυθμούς, διαρκώς αποκαλύπτονται ευάλωτα σημεία και αναδύονται νέες απειλές. Οι διαδικτυακές επιθέσεις σε μονάδες υγείας σχεδιάζονται με στόχο να απαγορεύουν την πρόσβαση των εργαζομένων τους σε συστήματα κρίσιμης φροντίδας και όπως φαίνεται θα αυξάνονται», εκτιμά ο Επικεφαλής του Κέντρου Εφαρμογών και Υπηρεσιών Ηλεκτρονικής Υγείας του Ινστιτούτου Πληροφορικής στο Ίδρυμα Τεχνολογίας και Έρευνας (ΙΤΕ), κ. Δημήτρης Κατεχάκης.
Ο κ. Δημήτρης Κατεχάκης
Τον Ιούλιο του 2022, το FBI, το CISA (Cybersecurity and Infrastructure Security Agency) και το Υπουργείο Οικονομικών των ΗΠΑ εξέδωσαν μια κοινή συμβουλευτική προειδοποίηση για συμμορίες του κυβερνοχώρου από τη Βόρεια Κορέα οι οποίες επιτίθενται με ransomware Maui εναντίον διακομιστών οργανισμών Υγείας και Δημόσιας Υγείας. Νωρίτερα, από τον Μάιο του 2021, το FBI είχε εντοπίσει πολλαπλές επιθέσεις ransomware Maui σε υπηρεσίες ηλεκτρονικών αρχείων υγείας, σε διαγνωστικές και απεικονιστικές υπηρεσίες, αλλά και σε υπηρεσίες intranet, σε φορείς παροχής υπηρεσιών υγείας στις ΗΠΑ.
Τον περασμένο Οκτώβριο ακολούθησε μια άλλη κοινή συμβουλευτική προειδοποίηση για τη δράση μιας εγκληματικής ομάδας του κυβερνοχώρου γνωστή ως Daixin Team που από τα μέσα του Αυγούστου του 2022 στοχεύει τον τομέα της υγείας με συνεχείς επιθέσεις ransomware σε όλο τον κόσμο. Σύμφωνα με το FBI, ακόμη μια ομάδα, η διαβόητη συμμορία πίσω από τη Hive ransomware-as-a-service (RaaS) επιτίθεται επίσης σε οντότητες υγειονομικής περίθαλψης έχοντας, από τον Ιούνιο του 2021, συγκεντρώσει περίπου 100 εκατομμύρια $ από τα θύματά της.
Στη χώρα μας έχουν σημειωθεί κατά καιρούς μεμονωμένες και περιορισμένης έκτασης κυβερνοεπιθέσεις σε μονάδες υγείας, με τελευταία αυτή στις 17 Ιανουαρίου 2022 στα νοσοκομεία «Σωτηρία», ΝΙΜΤΣ και «Ασκληπιείο Βούλας». Οι μονάδες δέχτηκαν επίθεση τύπου ransomware, όπου συνήθως οι δράστες «κλειδώνουν» τα αρχεία του στόχου τους ζητώντας λύτρα σε κάποιο κρυπτονόμισμα για την απελευθέρωσή τους πλήττοντας εξυπηρετητή (server) που εξυπηρετεί το λογιστικό και διοικητικό σύστημα των νοσοκομείων.
Ευάλωτος στόχος η υγεία
Τον Δεκέμβριο του 2020, εν μέσω πανδημίας, δημοσιοποιήθηκε στη χώρα μας από το Υπουργείο Ψηφιακής Διακυβέρνησης η νέα εθνική Στρατηγική Κυβερνοασφάλειας, η οποία κινείται γύρω από 5 βασικούς πυλώνες και 15 ειδικούς στόχους, ανάμεσα στους οποίους είναι η προστασία της υποδομής κρίσιμων πληροφοριών, η θέσπιση βασικών μέτρων ασφάλειας, η καθιέρωση μηχανισμών αναφοράς συμβάντων, η ανάπτυξη ικανότητας αντιμετώπισης περιστατικών, η αύξηση της ευαισθητοποίησης των χρηστών και η προώθηση της έρευνας και ανάπτυξης.
Αυτή η Βίβλος του ψηφιακού μετασχηματισμού 2020-2025 προβλέπει, μεταξύ άλλων, οριζόντιο έργο για την εγκαθίδρυση πλατφόρμας διαμοιρασμού πληροφοριών που σχετίζονται με κυβερνοασφάλεια και κυβερνοαπειλές, περιλαμβάνοντας ένταξη έργων στο Ταμείο Ανάκαμψης και Ανθεκτικότητας που υλοποιούνται στο πλαίσιο του Σχεδίου Ελλάδα 2.0.
Βράβευση του Ινστιτούτου Πληροφορικής του ΙΤΕ
Ωστόσο παραμένει το ερώτημα πόσο αποτελεσματικά μπορούν να είναι όλα αυτά: «Γενικά τα κράτη, αλλά και οι επιχειρήσεις υστερούν στο βαθμό υιοθέτησης εργαλείων που θα τους επιτρέψουν να ανταποκριθούν με αποτελεσματικότητα στις σύγχρονες ψηφιακές προκλήσεις, μεταξύ άλλων και σε ζητήματα που άπτονται της κυβερνοασφάλειας. Αυτός είναι ο λόγος που η ίδια η ΕΕ έχει θέσει ως σημαντική προτεραιότητα την υιοθέτηση των αποτελεσμάτων που παράγουν τα Κέντρα Γνώσης από τις επιχειρήσεις και το δημόσιο τομέα μιας και φαίνεται ότι υπάρχει σημαντικό κενό», σχολιάζει ο κ. Κατεχάκης.
Aπό το 2004 λειτουργεί ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), που είναι ένα πανευρωπαϊκό κέντρο εμπειρογνωσίας για την ασφάλεια στον κυβερνοχώρο. Ο ρόλος του είναι να βοηθάει τα κράτη μέλη της ΕΕ να εξασφαλίσουν ένα υψηλό επιπέδου κυβερνοασφάλειας και να θωρακίσουν τις ψηφιακές τους υποδομές.
Ο ENISA τον Ιανουάριο του 2021 δημοσίευσε μια έκθεση σχετικά με το Cloud Security for Healthcare Service, παρέχοντας στους οργανισμούς υγειονομικής περίθαλψης οδηγίες για την ασφάλεια στον κυβερνοχώρο που θα βοηθήσουν στην περαιτέρω ψηφιοποίηση με την υποστήριξη των υπηρεσιών νέφους. Σε ετήσια βάση εξάλλου, ο ENISA διοργανώνει διάσκεψη για την ασφάλεια της ηλεκτρονικής υγείας και του κυβερνοχώρου στον τομέα της υγείας.
«Ωστόσο, ο ENISA είναι μία Ευρωπαϊκή Υπηρεσία που έχει στόχο την επίτευξη ενός υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ευρώπη. Δε νομοθετεί. Η νομοθεσία γίνεται από την Ευρωβουλή και τα εθνικά κοινοβούλια. Μία πρόσφατη, σχετική πρόταση από το συμβούλιο της Ευρωπαϊκής Ένωσης μπορεί να βρει κάποιος εδώ», διευκρινίζει ο κ. Κατεχάκης.
Ακόμη όμως και αν υφίσταται σχετική νομοθεσία για την προστασία των προσωπικών δεδομένων για τη διασφάλιση της ψηφιακής ιδιωτικής ζωής, εντός και εκτός της ΕΕ, αυτή από μόνη της δεν αρκεί. Χρειάζεται εκπαιδευμένο προσωπικό στη διαχείριση ποιότητας και αποτελεσματικά συστήματα ασφαλούς διαχείρισης πληροφοριών με λύσεις που περιλαμβάνουν, μεταξύ άλλων, συναίνεση, ελαχιστοποίηση δεδομένων, κρυπτογράφηση και την πιθανή χρήση ψευδωνύμων.
Ευρωπαϊκός Κόμβος Ψηφιακής Καινοτομίας
Πολλές από τις προκλήσεις στην κυβερνοασφάλεια που αντιμετωπίζει σήμερα η βιομηχανία της υγείας συνδέονται με διαχρονικές αδυναμίες, όπως σημειώνει ο κ. Κατεχάκης: «Ο τομέας της υγείας αποτελεί έναν ευάλωτο στόχο κυβερνοεπιθέσεων γιατί οι ιατρικές συσκευές συνήθως κατασκευάζονται χωρίς ή με αδύναμη προστασία, γιατί οι επαγγελματίες υγείας δεν είναι επαρκώς εκπαιδευμένοι στους κινδύνους, γιατί ο τομέας είναι κατακερματισμένος και συνυπάρχουν πολλές και συχνές ανταλλαγές πολύμορφων δεδομένων μεταξύ παρόχων υπηρεσιών υγείας, γιατί εξακολουθεί να λειτουργεί ένας μεγάλος αριθμός τεχνολογικά ξεπερασμένων συστημάτων πληροφορικής, γιατί συνυπάρχουν διαφορετικές τεχνολογικές λύσεις, ενώ δεν υπάρχει ομοιόμορφη κουλτούρα προστασίας των δεδομένων».
Και εδώ έρχεται να συμβάλει ο πρώτος Ευρωπαϊκός Κόμβος Ψηφιακής Καινοτομίας για την Ιατρική Ακριβείας και Καινοτόμες Υπηρεσίες Ηλεκτρονικής Υγείας με την επωνυμία smartHEALTH που αποτελεί μια πρωτοβουλία του ΙΤΕ και του οποίου η λειτουργία ξεκινάει αρχές του 2023.
«Το smartHEALTH λειτουργεί ως κατάστημα μίας στάσης για την υποστήριξη της ψηφιακής αναβάθμισης επιχειρήσεων και οργανισμών του δημοσίου που δραστηριοποιούνται ή ενδιαφέρονται να δραστηριοποιηθούν στο χώρο της ψηφιακής υγείας, προσφέροντας υψηλού επιπέδου υπηρεσίες στους τομείς της τεχνητής νοημοσύνης (ΑΙ), της υπολογιστικής υψηλών επιδόσεων (HPC) και της κυβερνοασφάλειας (cybersecurity). Το smartHEALTH στοχεύει να αποτελέσει σημείο αναφοράς σε ευρωπαϊκό επίπεδο έχοντας ως ναυαρχίδα τους τομείς της ιατρικής ακριβείας, του καρκίνου, της ανάλυση ιατρικής εικόνας και του ψηφιακού μετασχηματισμού της λειτουργίας και των υποδομών του δημόσιου τομέα. Ιδιαίτερα σε αυτούς τομείς θα προσφέρεται σημαντική εξειδίκευση αξιοποιώντας διαθέσιμες ερευνητικές υποδομές και τεχνογνωσία της χώρας καθώς και πρόσβαση στους υπόλοιπους Ευρωπαϊκούς Κόμβους », περιγράφει ο διευθυντής του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας και Έρευνας και Καθηγητής στο Τμήμα Επιστήμης Υπολογιστών του Πανεπιστημίου Κρήτης, κ. Δημήτρης Πλεξουσάκης.
Ο κ. Δημήτρης Πλεξουσάκης
Έχοντας τις κεντρικές εγκαταστάσεις του στο ΙΤΕ, στην Κρήτη, και με σημεία παρουσίας σε 8 από τις 13 περιφέρειες της χώρας ο κόμβος θα προσφέρει σύνθετες υπηρεσίες υποστήριξης του ψηφιακού μετασχηματισμού σε όλη τη χώρα που αφορούν τη δυνατότητα «δοκιμών πριν την επένδυση» (test before invest), την ανάπτυξη προηγμένων ψηφιακών γνώσεων και δεξιοτήτων, την υποστήριξη για πρόσβαση σε χρηματοδότηση και την ανάπτυξη του οικοσυστήματος και τη διασύνδεση επιχειρήσεων, δημόσιου τομέα και ερευνητικών οργανισμών.
Η πρόσβαση στις υπηρεσίες του smartHEALTH θα είναι διαθέσιμη σε επιχειρήσεις και φορείς του δημοσίου από όλη τη χώρα, αλλά και από την Ευρώπη. Οι ειδικοί σύμβουλοι καινοτομίας θα είναι το πρώτο σημείο επαφής των ενδιαφερόμενων με το smartHEALTH, οι οποίοι θα εκτιμούν τις ανάγκες τους (τεχνολογικές, επιχειρηματικές, χρηματοδοτικές και ανάγκες δικτύωσης) και μέσω συγκεκριμένων βημάτων θα τους καθοδηγούν στις παρεχόμενες υπηρεσίες με στόχο το βέλτιστο όφελός τους.
Ενδεικτικά το smartHEALTH αναμένεται να υποστηρίξει τα επόμενα τρία χρόνια 110 ενδιαφερόμενους (από τον ιδιωτικό αλλά και το δημόσιο τομέα) στον ψηφιακό μετασχηματισμό τους με περίπου 10 από αυτούς να προέρχονται από άλλες ευρωπαϊκές χώρες. Οι υπηρεσίες του ΕΚΨΚ θα είναι διαθέσιμες χωρίς κόστος και με την ενεργοποίηση τους θα υπάρξει ενημέρωση των ενδιαφερομένων για τις προβλεπόμενες διαδικασίες.
Στο σημείο αυτό αξίζει να αναφερθεί ότι η πρωτοβουλία για τη σύσταση του κόμβου απέφερε και βραβείο στο Ινστιτούτο Πληροφορικής του ΙΤΕ. Συγκεκριμένα, το Ινστιτούτο επιβραβεύτηκε με HealthCare Business Awards, στις 20 Οκτωβρίου 2022, λαμβάνοντας GOLD και PLATINUM βραβεία στην κατηγορία «Εθνική / Περιφερειακή Πρωτοβουλία» για την πρωτοβουλία του να συστήσει, αρχικά μέσα από εθνική και στη συνέχεια μέσα από ευρωπαϊκή διαγωνιστική διαδικασία, τον πρώτο Ευρωπαϊκό Κόμβο Ψηφιακής Καινοτομίας στη χώρα. Είναι η 4η συνεχής χρονιά που οι καινοτόμες δράσεις του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας και Έρευνας επιβραβεύονται με HealthCare Business Awards.
Σημείωση: Στον Ευρωπαϊκό Κόμβο Ψηφιακής Καινοτομίας (ΕΚΨΚ) smartHEALTH, εκτός από το ΙΤΕ συμμετέχουν το Εθνικό Κέντρο Έρευνας και Τεχνολογικής Ανάπτυξης (ΕΚΕΤΑ), το Εθνικό Κέντρο Έρευνας Φυσικών Επιστημών «Δημόκριτος», το Ερευνητικό Κέντρο «Αθηνά», το Πανεπιστήμιο Κρήτης, το Πολυτεχνείο Κρήτης, το Πανεπιστήμιο Δυτικής Μακεδονίας, ο Σύνδεσμος Επιχειρήσεων & Βιομηχανιών Πελοποννήσου & Δυτικής Ελλάδας (ΣΕΒΠΔ), η εταιρεία Uni Systems, και το Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών (ΕΚΠΑ). Ο ΕΚΨΚ συντονίζεται από το Ινστιτούτο Πληροφορικής του ΙΤΕ